Skip to main content
QUICK REVIEW

[논문 리뷰] Neural Network Model Extraction Attacks in Edge Devices by Hearing Architectural Hints

Xing Hu, Ling Liang|arXiv (Cornell University)|2019. 03. 10.
Adversarial Robustness in Machine Learning참고 문헌 71인용 수 28
한 줄 요약

이 논문은 GPU 플랫폼에서 DNN 추론 실행 중 발생하는 외부 메모리 버스 트래픽 및 PCIe 이벤트를 분석함으로써 엣지 장치의 신경망 아키텍처를 추출하는 새로운 사이드 채널 공격을 제시한다. 음성 인식 기반 기법인 LSTM-CTC를 활용하여 레이어 유형, 연결성, 차원을 높은 정확도로 재구성함으로써, 적대적 공격의 성공률을 14.6–25.5%에서 75.9%로 높인다.

ABSTRACT

As neural networks continue their reach into nearly every aspect of software operations, the details of those networks become an increasingly sensitive subject. Even those that deploy neural networks embedded in physical devices may wish to keep the inner working of their designs hidden -- either to protect their intellectual property or as a form of protection from adversarial inputs. The specific problem we address is how, through heavy system stack, given noisy and imperfect memory traces, one might reconstruct the neural network architecture including the set of layers employed, their connectivity, and their respective dimension sizes. Considering both the intra-layer architecture features and the inter-layer temporal association information introduced by the DNN design empirical experience, we draw upon ideas from speech recognition to solve this problem. We show that off-chip memory address traces and PCIe events provide ample information to reconstruct such neural network architectures accurately. We are the first to propose such accurate model extraction techniques and demonstrate an end-to-end attack experimentally in the context of an off-the-shelf Nvidia GPU platform with full system stack. Results show that the proposed techniques achieve a high reverse engineering accuracy and improve the one's ability to conduct targeted adversarial attack with success rate from 14.6\%$\sim$25.5\% (without network architecture knowledge) to 75.9\% (with extracted network architecture).

연구 동기 및 목표

  • 엣지 장치에 배포된 DNN 모델 아키텍처를 보호하는 데 있어 심각한 보안 격차를 해결하기 위해, 특히 복잡한 시스템 스택을 가진 GPU 기반 시스템에서의 보안을 강화하는 것.
  • ResNet 및 DenseNet과 같은 복잡한 아키텍처에서 실패하는 과도한 계산 자원이 필요한 블랙박스 모델 추출 공격의 한계를 극복하는 것.
  • 하드웨어 사이드 채널, 특히 외부 메모리 접근 패턴과 PCIe 이벤트를 통해 아키텍처 정보가 泄露됨을 입증하여 효율적이고 정확한 모델 재구성 가능성을 보여주는 것.
  • 재구성된 아키텍처가 표적 적대적 공격의 성공률을 크게 향상시켜 엣지 AI 보안에서 심각한 취약점을暴露하는 것.

제안 방법

  • DNN 추론 실행 중 일반 소비자용 GPU 플랫폼에서 외부 메모리 주소 트레이스 및 PCIe 이벤트를 스노핑한다.
  • 장기 단기 기억망과 연결주의 시간 분류(CTC)를 결합한 LSTM-CTC를 적용하여 시간적 메모리 접근 시퀀스에서 레이어 경계를 식별하고 레이어 유형(예: ReLU, 컨볼루션)을 분류한다.
  • 레이어 간 시간적 연관성과 메모리 접근 패턴 분석을 통해 레이어 간 연결성과 위상적 구조를 추론한다.
  • 데이터 볼륨 제약 조건과 메모리 접근 볼륨 추정 기법을 활용하여 레이어 고유의 차원(예: 특징 맵 크기, 커널 크기)을 유추한다.
  • 일반적인 DNN 아키텍처에 대한 경험적 지식을 사전 지식으로 활용하여 재구성 과정을 안내하고 정밀화한다.
  • 원본 네트워크와의 비교 및 적대적 예제 생성을 통해 재구성된 모델의 정확성을 검증한다.

실험 결과

연구 질문

  • RQ1GPU 플랫폼에서 노이즈가 많고 완벽하지 않은 외부 메모리 트레이스로부터 신경망 아키텍처를 재구성할 수 있는가?
  • RQ2하드웨어 사이드 채널 신호(메모리 접근 패턴 및 PCIe 이벤트)가 레이어 유형, 순서, 연결성과 같은 아키텍처 세부 정보를 어느 정도 드러내는가?
  • RQ3제안된 방법이 시스템 수준의 실행 트레이스로부터 ResNet 및 DenseNet과 같은 복잡한 DNN 아키텍처를 얼마나 효과적으로 재구성하는가?
  • RQ4아키텍처 지식이 없는 블랙박스 공격에 비해 아키텍처 재구성이 적대적 공격 성공률에 얼마나 기여하는가?
  • RQ5음성 인식 기반 기법인 LSTM-CTC가 일반 목적 GPU에서 DNN 실행 패턴을 역설계하는 데 효과적으로 적용될 수 있는가?

주요 결과

  • 제안된 방법은 복잡한 시스템 스택과 최적화가 적용된 표준 GPU 플랫폼에서도 외부 메모리 트레이스로부터 DNN 아키텍처를 매우 높은 정확도로 재구성할 수 있다.
  • 재구성 성공률 덕분에, 아키텍처 지식이 없는 블랙박스 공격에서의 공격 성공률 14.6–25.5%가 재구성된 아키텍처를 활용할 경우 75.9%로 상승한다.
  • 데이터 재사용, 스케줄링, 주소 변환 복잡성에도 불구하고, 메모리 접근 패턴과 PCIe 이벤트는 레이어 유형, 순서, 연결성을 식별할 수 있는 충분한 아키텍처 정보를 포함하고 있다.
  • 레이어 경계 탐지 및 유형 분류에 LSTM-CTC를 사용함으로써 히وري스틱 또는 통계적 방법에 비해 아키텍처 재구성 정확도가 크게 향상된다.
  • 이 공격은 ResNet 및 DenseNet과 같은 실제 모델에서도 효과적이며, 심지어 최첨단 모델조차도 시스템 수준의 사이드 채널 유출에 취약함을 입증한다.
  • 결과적으로 일반 목적 GPU의 하드웨어 사이드 채널이 모델 추출에 실질적이고 강력한 공격 벡터로 기능할 수 있음을 보여주며, 광범위하게 사용되는 '클라우드 훈련, 엣지 추론' 패러다임의 보안을 약화시킨다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.